Il s'agit la base d'outils de sécurité permettant d'analyser un disque piraté sans le modifier (pour ne pas effacer les traces) et qui ne se reposent pas sur l'OS pour accéder aux fichiers, ce qui permet donc d'afficher tous les fichiers y compris ceux qui seraient masqués, ceux qui ont été effacés, etc. Au-del de l'analyse d'intrusion, ce sont des utilitaires qui peuvent donc être très utiles pour récupérer des données sur un disque crashé.

Ils reconnaissent les partitions Unix, Dos, BSD, MAC... et les systèmes de fichier NTFS, FAT, EXT2, EXT3... , et permettent d'analyser aussi bien un disque déconnecté de son PC d'origine, qu'un système en cours d'exécution, par exemple pour trouver des fichiers cachés par un rootkit, suivre en direct l'activité un virus, etc.

Parmi leurs principales fonctionnalités:

  • analyse détaillée du disque, de tous les fichiers, avec affichage de l'ensemble de leurs attributs
  • création de rapports d'activité des fichiers en fonction de leurs dates de dernier accès, modification, etc. Utile pour tracer des modifications, des attaques...
  • possibilité de rechercher et de trier l'ensemble des fichiers sur des critères multiples comme par exemple leur type.
  • statiques globales sur le système de fichiers
  • affichage des données brutes des fichiers, des blocs du disque...
  • etc

Ces fonctions peuvent être accédées soit directement via des outils en ligne de commande, soit via une interface Web, Autopsy.

Il existe un live CD (système que l'on exécute directement depuis un CD) basé sur Knoppix et contenant ces outils: le Penguin Sleuth Kit.

Vala, probablement des outils connaître pour le jour où un disque crashe, douloureuse expérience s'il en est...